TL;DR

Seed phrase havnet i offisiell pressemelding

Sør-Koreas nasjonale skattemyndighet, National Tax Service (NTS), har havnet i en pinlig situasjon etter at en seed phrase — den kryptografiske nøkkelrekken som gir full kontroll over en digital lommebok — ved en feil ble inkludert i en offentlig pressemelding, ifølge Decrypt.

Lommeboken inneholdt beslaglagte PRTG-tokens på Ethereum-nettverket. Så fort pressemeldingen ble publisert, gikk noen til verks: tokenene, verdt anslagsvis 4,8 millioner dollar, ble overført ut av lommeboken i løpet av svært kort tid.

Det oppsiktsvekkende er at midlene til slutt ble returnert. Omstendighetene rundt dette er foreløpig ikke fullstendig klarlagt, og det er uvisst om myndighetene har identifisert den ansvarlige.

En seed phrase i en PDF-pressemelding — det er som å legge bankkortet og PIN-koden i samme konvolutt og sende den til pressen.
Sør-Korea publiserte seed phrase i pressemelding — krypto stjålet på minutter

Del av et større mønster

Hendelsen er ikke et engangstilfelle. Ifølge forskningsmateriale knyttet til saken har sørkoreanske myndigheter de siste årene vært rammet av en rekke alvorlige sikkerhetsbrudd i håndteringen av beslaglagte digitale eiendeler.

I august 2024 skal ansatte ved Gwangju statsadvokatkontor ha blitt lurt av en phishing-side mens de inspiserte beslaglagte verdier — og slik ha mistet 320 bitcoin, verdsatt til rundt 8,3 millioner dollar. Rundt november 2021 forsvant 22 bitcoin fra Gangnam politistasjon under uklare omstendigheter. Cold wallet-enheten var intakt, men bitcoin var overført eksternt — tilsynelatende fordi frøfrasen var i hendene på en tredjepart og ikke hos politiet selv. To personer, blant dem en daglig leder i et kryptofirma, skal ifølge kildene ha blitt pågrepet i den forbindelsen.

$4,8M
PRTG-tokens stjålet
320 BTC
Tapt i phishing-angrep mot Gwangju-kontoret
Sør-Korea publiserte seed phrase i pressemelding — krypto stjålet på minutter

Myndigheter innfører strakstiltak

Det er verdt å merke seg at sørkoreanske myndigheter har reagert på det bredere sikkerhetsproblemet med en rekke tiltak. Riksadvokatembetet (Supreme Prosecutors' Office) har ifølge forskningsmaterialet utarbeidet et nasjonalt regelverk for håndtering av beslaglagt kryptovaluta, som blant annet krever bruk av godkjente blokkjedeanalyseverktøy, detaljert sporbarhet for enhver interaksjon med beslaglagte lommebøker, og obligatorisk cybersikkerhetsopplæring for involverte tjenestemenn.

National Police Agency (NPA) planlegger dessuten å overlate forvaring av beslaglagte kryptoaktiva til lisensierte kryptobørser og tjenesteleverandører (VASPs), og Financial Services Commission (FSC) krever multi-signatur-lommebøker for alle beslaglagte midler fremover.

Tiltakene kom imidlertid etter — ikke før — en serie hendelser som denne saken illustrerer.

Kritisk blikk: Hva vet vi egentlig?

Decrypt er kilden til den opprinnelige nyheten, og en del detaljer rundt returen av tokenene er uklare. Det er ikke bekreftet hvem som tappet lommeboken, eller under hvilke omstendigheter midlene kom tilbake. Forskningsmaterialet som beskriver myndighetenes responsprogram er hentet fra sekundærkilder og bør leses med det forbeholdet at detaljer om implementering og etterlevelse ikke er uavhengig verifisert.

Det som derimot er godt dokumentert, er at det eksisterer et systematisk problem med sikkerheten rundt beslaglagte kryptoaktiva i Sør-Korea — og at NTS-hendelsen er blant de mer grunnleggende feilene i rekken.